들어가며 — 아무나 내 금융 데이터를 다룰 수 없다
토스·뱅크샐러드·카카오페이에서 마이데이터 서비스를 이용할 때 이런 생각 해보셨나요?
“이 앱이 내 은행 계좌, 카드 내역, 보험 정보까지 다 볼 수 있다고? “
“정말 안전한 건가?”
당연한 의문입니다.
내 금융 정보 전체를 한 곳에 모아주는 서비스인 만큼,
아무 회사나 이 사업을 할 수 없어요.
마이데이터 사업을 하려면 반드시 금융위원회의 허가를 받아야 합니다.
그리고 그 허가 요건은 생각보다 훨씬 까다롭습니다.
저는 하나은행 마이데이터 시스템 구축 프로젝트 컨설팅을 수행하면서 이 허가 과정을 직접 옆에서 지켜봤습니다.
오늘은 마이데이터 사업자가 되기 위해 무엇이 필요한지,
누가 허가를 받았는지 현장 경험을 바탕으로 이야기해드리겠습니다.
마이데이터 사업자 허가, 왜 이렇게 까다로운가
마이데이터 사업자 허가 요건이 까다로운 이유는 명확합니다.
다루는 정보가 민감하기 때문이에요.
은행 계좌, 카드 사용 내역, 보험 납입 정보, 투자 현황, 대출 잔액.
이 모든 정보가 한 곳에 집중되면 어마어마한 개인정보가 됩니다.
잘못 관리되면 금융 사기, 개인정보 유출 등 심각한 피해가 발생할 수 있어요.
실제로 하나은행은 마이데이터 사업자 허가를 위해
기존 레거시 시스템이나 정보계 시스템과
완전히 분리된 독립 시스템을 구축했습니다.
마이데이터 시스템에 저장된 고객 정보는
별도의 권한을 부여받은 직원만 접근할 수 있었고,
그 인원도 최소한으로 제한했습니다.
직원 입장에서는 계정이 하나 더 생기는 번거로움이 있었지만,
하나은행은 개인정보 보호와 유출 방지를 최우선으로 삼아 금융위원회에 허가를 신청했습니다.
금융권에서 보안은 곧 신뢰였습니다.
금융위원회는 마이데이터 사업자가 되려면 크게 세 가지 요건을 갖추도록 했습니다.
마이데이터 사업자 허가 3대 요건
첫째, 자본금 요건입니다
마이데이터 사업을 하려면 최소 5억 원 이상의 자본금이 필요합니다.
일반 은행이나 카드사에 비하면 낮은 편이에요.
핀테크 스타트업도 참여할 수 있도록 문턱을 낮춘 거예요.
그 덕분에 토스·뱅크샐러드 같은 핀테크 기업도 마이데이터 사업자가 될 수 있었습니다.
둘째, 보안 요건입니다
가장 까다로운 부분이에요.
마이데이터 사업자는 아래 보안 요건을 모두 갖춰야 합니다.
- 표준 API 방식으로만 데이터를 수집해야 합니다.
이용자의 인증 정보를 직접 저장하거나 가져가면 안 됩니다.
스크래핑 방식은 절대 불가합니다. - 강력한 본인인증 절차를 갖춰야 합니다.
- 정보 유출에 대비한 배상책임보험 가입이 의무화됩니다.
- 전담 정보보호 인력을 보유해야 합니다.
셋째, 이용자 보호 요건입니다
- 마이데이터 이용자의 동의 철회 요청을 즉시 처리할 수 있는 시스템을 갖춰야 합니다.
- 수집한 정보를 목적 외로 사용할 수 없습니다.
- 정기적으로 이용자에게 정보 활용 현황을 알려야 합니다.
누가 허가를 받았나 — 45개 사업자 분석
2022년 1월 마이데이터 사업자 서비스 정식 시행 당시 본 허가를 받은 사업자는 총 45개사였습니다.
(출처: 금융위원회)
왜 이렇게 다양한 업종이 참여했나
은행·카드사부터 핀테크·빅테크·보험·증권까지 금융업계 전체가 참여했습니다.
왜 그랬을까요?
제가 당시 컨설팅 현장에서 직접 경험한 각 업권별 속마음을 말씀드릴게요.
은행 입장 → “우리 고객을 빼앗아갈 수 있다“
“마이데이터 사업자가 안 되면 우리 고객 정보가 토스나 카카오페이로 다 넘어간다.
그들이 우리 고객을 더 잘 알게 되면,
결국 우리 고객을 빼앗아갈 수 있다.”
핀테크 입장 → “이 기회를 절대 놓칠 수 없다“
“드디어 은행이 독점하던 고객 데이터를 법적으로 가져올 수 있게 됐다.
이 기회를 절대 놓칠 수 없다.”
빅테크 입장 → “초개인화 서비스가 가능해진다“
“우리는 이미 수천만 명의 사용자를 보유하고 있다.
금융 데이터까지 더하면 초개인화 서비스가 가능해진다.”
결국 마이데이터 사업자 허가는 단순한 서비스 허가가 아니었습니다.
금융업계 데이터 주도권 전쟁의 출발선이었어요.
허가를 받지 못하거나 포기한 곳들도 있었다
45개사가 허가를 받은 반면, 준비를 시작했다가 포기한 곳들도 있었어요.
주요 이유는 두 가지였습니다.
첫 번째는 보안 요건 충족 실패입니다.
API 보안 체계와 정보보호 인력 구성 등에서 기준을 맞추지 못한 경우예요.
특히 중소 핀테크 기업들이 보안 인프라 구축에 어려움을 겪었습니다.
두 번째는 수익성에 대한 의문이었습니다.
마이데이터 사업은 막대한 초기 투자가 필요합니다.
시스템 구축 비용, 보안 인프라 비용, 인력 비용까지.
“과연 이 투자를 회수할 수 있을까?” 의문을 가진 기업들은 결국 포기했어요.
내가 쓰는 마이데이터 앱, 안전한지 확인하는 방법
내가 쓰는 마이데이터 앱이 정식 허가를 받았는지 확인하는 방법이에요.
**금융위원회 공식 홈페이지(fsc.go.kr)**에서 마이데이터 사업자 목록을 확인할 수 있어요.
또는 해당 앱의 이용약관이나 서비스 소개 페이지에서 “본인신용정보관리업 허가” 문구를 확인하시면 됩니다.
허가받지 않은 곳이 마이데이터 서비스처럼 운영된다면 불법이에요.
내 정보를 맡기기 전에 반드시 확인하세요!
마치며 — 허가가 곧 신뢰의 증거
마이데이터 사업자 허가는 단순한 행정 절차가 아닙니다.
자본금·보안·이용자 보호 요건을 모두 갖춘 기업만이 받을 수 있는 신뢰의 인증서예요.
45개 사업자가 치열한 준비 끝에 허가를 받았고,
그들이 제공하는 서비스 위에서 여러분의 금융 데이터가 움직이고 있습니다.
내 데이터를 맡기는 곳이 허가 받은 사업자인지,
내 동의 범위는 무엇인지 한 번쯤 확인해보시는 게 좋습니다.
다음 편에서는 마이데이터 서비스의 핵심 기술인 스크래핑에서 API로의 전환, 그리고 시스템 구축 현장에서 직접 겪은 이야기를 전해드리겠습니다.
뱅커노트 (Banker’s Note)
30년 금융 현장의 경험을 바탕으로 디지털 금융과 마이데이터 이야기를 쉽게 풀어갑니다.